Sicherheitslecks haben System 


Wer IT-Schwachstellen in Unternehmensnetzen analysiert, wird auf Gesetzmäßigkeiten stoßen. 
Firmen können diese Erkenntnisse nutzen, um Sicherheitslücken zu schließen. 
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: inVerbindung gebracht werden. 
Bei der Analyse wurden das : 


agtäglich entdecken Ex- ; 
perten neue Schwachstel- 


len in Netzen und Anwen- | 


dungen. Beim Bekannt- 


werden dieser Lecks stel- : 


len sich Administratoren immer ; 
wieder die gleichen Fragen: Wie : 
gravierend ist die Schwachstel- : 
le?Wie weit ist sie verbreitet?Wie : 
leicht lässt sie sich ausnutzen? Ist į 


irgendeines meiner Systeme von ; 
dieser Schwachstelle betroffen? | 
Die neue Generation automati- | 


sierter Viren und Würmer hat den į 


Sicherheitsverantwortlichen ge- 
zeigt, dass es nicht ausreicht, sich 
beim Schutz der Systeme allein 


! Die Halbwertszeit einer Schwach- | 
stelle ist die Zeit, die vergeht, bis ! 


auf menschliches Handeln zu : 
verlassen. Jedem zerstörerischen : 
Angriff der letzten Zeit waren | 
Warnungen vor den entsprechen- | 


den Schwachstellen vorausge- | 


gangen -Wochen, manchmal so- 
gar Monate, bevor die eigentli- 
che Attacke erfolgte. Und trotzdem 
gelang es den Angreifern, Hun- 


derttausende von PCs und Ser- : 


vern zu treffen. 


Hier lesen Sie ... 


+ welche Gesetzmäßigkeiten 
sich bei der Analyse von 
Schwachstellen erkennen 
lassen; 

% wie Unternehmen diese Er- 
kenntnisse nutzen können, 
um die Gefährdung ihrer IT 
realistisch zu bewerten; 

% wie Best Practices ausse- 
hen, die Unternehmen beim 
Erkennen, Beseitigen und 
Überprüfen von Sicherheits- 
lücken unterstützen. 


„Fenster der Gefährdung”, die : 
Lebensdauer kritischer Sicher- : 
heitslücken, die getroffenen Ab- : 
hilfemaßnahmen, längerfristige ; 
Trends und die Verbreitung von | 
Schwachstellen ermittelt. Dabei : 
ließen sich aufschlussreiche Ge- | 
setzmäßigkeiten im Hinblick auf ; 
die Halbwertzeit, den Verbrei- | 
tungsgrad, die Wirkungsdauer : 
und die Ausnutzung feststellen. : 


Befall nach Erstinfektion 


Unternehmen die Hälfte der be- 


troffenen Systeme geschützt ha- : 


ben. Die Halbwertszeit kritischer 
Schwachstellen beträgt bei ex- 


: Viren sind zäh 


2 Sasser 

a 

50 = Blasser 

40 

30 

20 
f 10 

27.12.2003 28.02.2004 
31.01.2004 


01.05.2004 
03.04.2004 


03.07.2004 
29.05.2004 


: ganz, sondern sorgten beispieiswelse im Jahr 2004 Immer wieder für 


: Neulnfektionen. 


ternen Systemen 21 Tage und bei : 


internen Systemen 62 Tage; mit | 
abnehmendem Schweregrad i 
verdoppeln sich diese Zahlen. | 
Mit anderen Worten: Selbst bei : 
den gefährlichsten Sicherheits- | 
lücken haben Unternehmen : 
nach 21 Tagen erst die Hälfte der . 
anfälligen externen Systeme ge- ; 
patcht; für die Hälfte der anfälli- : 
gen internen Systeme benötigen ; 
sie 62 Tage. Die restlichen Syste- : 


: me bleiben somit über einen be- 
: trächtlichen Zeitraum hinweg 


ungeschützt. 


Im vergangenen Jahr verkürz- | 
te sich die Halbwertszeit von : 


; Schwachstellen in Systemen, die 


: direkt an das Internet angebun- į 
: den sind, von 30 auf 21 Tage -al- : 
: so um 30 Prozent. Das ist eine | 
; viel versprechende Entwicklung, 

: die demonstriert, dass die Ab- | 
: wehrmaßnahmen gegen externe | 


: Sicherheitslücken besser wer- 


; den. Andererseits jedoch zeigten ; 
: Analysen von Schwachstellen in- | 
nerhalb der Unternehmens- | 


Um Schwachstellen in Netzen | 
erfolgreich bekämpfen zu kön- : 
nen, müssen Anwender genau | 
verstehen, welche Art von Risiko : 
diese darstellen. Hierbei können . 
Ergebnisse hilfreich sein, die die . 
Analyse von insgesamt sechs ; 
Millionen Netzschwachstellen | 
über einen Zeitraum von drei | 
Jahren hinweg erbrachte. Dabei : 


: Halbwertszeit 


handelt es sich um eine statis- 
tisch signifikante, anonymisier- 
te Stichprobe, gezogen aus mehr 
als 14 Millionen Scans, die glo- 


bal agierende Unternehmen und | 
beliebige Internet-Nutzer vorge- : 


nommen hatten, um die Sicher- 


heit ihrer Netzgrenzen und In- : 
tranets zu überprüfen. Die zen- | 


trale Datenbank umfasst Signa- 
turen für mehr als 4000 verschie- 


dene Sicherheitslücken, die nach : 


CVE, CERT, SANS20 und ande- 
ren Quellen standardisiert sind. 

Sämtliche Schwachstellenda- 
ten sind rein statistischer Natur 
und können mit keinem Nutzer, 
System, Unternehmen oder Ort 


Firewalls, dass diese mit 62 Ta- : 
gen eine fast 200 Prozent länge- į 


re Halbwertszeit haben. 
Die neuesten Würmer und au- 


tomatisierten Angriffe nutzten £ 
genau dieses Gefahrenfenster | 
aus und richteten sich gegen in- į 


terne Netze. Über lange Zeiträu- 


Prozent 
100% 


möglichkeiten in lokalen Netzen 
stellen somit eine gravierende 


maßnahmen sind erforderlich, 


und zu vermindern. 
Am Grad der Verbreitung lässt 


spezifischen Schwachstelle ab- 
lesen, dieser Wert ist einer der In- 
: dikatoren für das Auftreten von 
ausgedehnten -im Gegensatz zu 


Die Abwehr u 
richtet sich nach dem 
Wert der IT-Güter. 


begrenzten - Angriffen. Auf- i 
grund spezieller Bedrohungspro- : 
: schrieben und in Umlauf gebracht 
: werden kann, desto gefährlicher 

ist er. Die jüngsten automatisier- : 
; jeweiligen Systemen abhängig von 
Fxploit“ von Monaten auf Tage 
schrumpfen und erfolgten damit : 
schneller als jede menschenmög- : 
liche Gegenreaktion. Der Analy- : 
se zufolge zielen 80 Prozentaller : 
: Würmer und automatisierten An- È 
griffe auf die ersten beiden Halb- : 
; wertszeiten kritischer Schwach- : 
stellen. Durch die schnelle Ent- : 
wicklung von Exploits entstehen į 
; ten alle fünf bis zehn Tage über- 
; prüft werden, damit Schwach- 


file unterscheiden sich die meist- 
: verbreiteten und kritischsten 
Schwachstellen in 
Netzwerken von denjenigen, die 


Gefahren. Aus diesem Grund 
sollten die Sicherheitsteams in 


nahmen nach dem Wert der vor- 
: handenen IT-Güter und der Ver- 


Be! kritischen Schwachstellen 
werden Innerhalb von 21 Tagen 


(in internen Netzen 62 Tagen) 50 


"105 126 147 168 189 
Tage 


Prozent der Systeme gepatcht. 


Quelle: Qua vs 


me hinweg bestehende Angriffs- : 
| priorisieren. 


Schwäche dar. Gezielte Abwehr- : 


um diese Risiken zu bewerten |! 


sich das Gefahrenpotenzial einer | 
| gen 


internen | 


externe Netze bedrohen. Jedes | 
Jahr treten an die Stelle der kri- : 
tischsten und am meisten ver- ! 
breiteten Sicherheitslücken neue | 


Unternehmen ihre Abhilfernaß- : 


Die Daten zeigen, dass kriti- 
sche Schwachstellen und ihre 


darstellen. Die Schuld daran tra- 
Anwender 


neuer Systeme und Server verur- 


sacht, auf die Images von fehler- ; 
: hafter, ungepatchter System- ' 
; und/oder Anwendungssoftware : 
` aufgespielt werden. 
:  Einentscheidender Faktor für | 

die Stoßkraft einer automatisier- 
ten IT-Attacke ist die Zeit: Je | 
schneller Exploit-Code für eine | 


bestimmte Sicherheitslücke ge- 


ten Angriffe ließen die „Time-to- 


in Unternehmen lange Anfällig- 


: keitszeiträume bis zur Sicherung 
: der kritischen Systeme. „SQL | 
: Slammer“ trat sechs Monate nach | 
; der Entdeckung einer Schwach- : 
: stelle auf, „Nimda“ vier Monate 
: und „Slapper“ sechs Wochen da- 
: nach; „Blaster“ erschien nur drei 
: Wochen, nachdem ein Sicher- 
: heitsleck bekannt geworden war, 
: und derWurm „Witty“ schlug be- 
: reits am Tag nach der Veröffent- 
: lichung der entsprechenden Si- 


cherheitslücke zu. 


Schädling rund 12 000 Rechner, 
auf denen Firewalls der Firma 
Internet Security Systems liefen. 


großenteils : 
: selbst: Neuinfektionen werden | 
: häufig durch die Installation : 
| tern“ haben mittlerweile viele 


| Witty erreichte seinen Gipfel- 
; punkt nach zirka 45 Minuten: Zu 
; diesem Zeitpunkt hatte er bereits 
; die meisten anfälligen Hosts in- 
: fiziert. Laut einer Analyse der 
; Cooperative Association for In- 
| ternet Data Analysis (CAIDA) 
: und der University of California, 
: San Diego (UCSD), war Witty 
; gleich in mehrerer Hinsicht ein 
; Novum: Er war der erste weit 
; verbreitete Internet-Wurm, der 
: eine zerstörerische Nutzlast trug; 
e EED ; er verbreitete sich auf organisier- 


te Weise mit mehr „Ground-Ze- 


: ro-Hosts“ als je zuvor; er steht für 
; das bislang kürzeste Intervall 
Angaben in 1000 befelionen Systemen Quelle: Qualys : 


Schädlinge wie Sasser, Code Red, Nachi und Blaster verschwinden nie 


zwischen der Bekanntgabe einer 


; Sicherheitslücke und der Freiset- 
` zung eines Wurms (ein Tag); er 
: griff nur Hosts an, auf denen ei- 
: ne Sicherheitssoftware lief; und 
breitung der Verwundbarkeiten | 
: einem Nischenmarkt genauso 
; anfällig sind wie die Produkte ei- 
: nes Softwaremonopolisten. 

; Varianten in einer vorhersehba- ; 
ren Weise wiederkehren und so- : 
: mit eine anhaltende Bedrohung | 
für interne und externe Netze | 


er bewies, dass Anwendungen in 


Best Practices zum Schutz 

Das Schwachstellen-Manage- 
ment umfasst die Identifizierung, 
Priorisierung und Behebung von 
Sicherheitslücken. Getreu dem 
Motto „Was man nicht messen 
kann, kann man auch nicht meis- 


Unternehmen erfolgreich ein sys- 
tematisches Schwachstellen-Ma- 
nagement implementiert. Von 


: den Trends, die in den „Gesetzen 


der Schwachstellen“ aufgezeigt 


; werden, lassen sich folgende 


Best Practices für das Schwach- 
stellen-Management ableiten. 
Klassifizierung: Unternehmen 
sollten sämtliche IT-Ressourcen 
identifizieren und kategorisie- 
ren. Dabei empfiehlt es sich, den 


ihrer geschäftlichen Bedeutung 
unterschiedliche Prioritätsstufen 


u Kritische Assets 
alle fünf bis zehn Tage 
überprüfen. 


zuzuweisen. Kritische Assets soll- 


stellen rechtzeitig ermittelt und 
Schutzmaßnahmen gegen Ex- 
ploits getroffen werden können. 
Assets der unteren Kategorien 
können, entsprechend ihrer hier- 
archischen Priorität, weniger häu- 
fig gescannt werden, da man hier 
auch Patches in etwas größeren 
Zeitabständen einspielen wird. 
Priorisierung: Unternehmen 
sollten ihre Abhilfemaßnahmen 


: anhand der Asset-Klassifikation 
Am 19. März 2004 befiel dieser : 
; heitslücken priorisieren. Mit 


und der Schwere der Sicher- 


dem vor kurzem vorgestellten 
Common Vulnerability Scoring 


System (CVSS) steht ein wir- 
kungsvolles Instrument zur Ver- 
fügung, um Schwachstellen in 
einer Unternehmensumgebung 
die richtige Priorität zuzuweisen. 

Integration: Um die Wirksam- 
keit verschiedener Sicherheits- 
technologien wie Server- und 
Desktop-Erkennungssysteme, 
Patch-Management-Systeme 
und Upgrade-Dienste zu verbes- 
sern, muss deren Integration mit 
Schwachstellen-Management- 
Technologien gewährleistet sein. 
Außerdem sollte in einem Best- 
Practice-Unternehmen über die 
Fortschritte Bericht erstattet 
werden, die im Hinblick auf die 
gesteckten Ziele im Bereich 
Schwachstellen-Management 
gemacht werden, um so das Be- 
wausstsein für die Sicherheitspro- 
blematik in der Führungsetage 
zu erhöhen. 

Messung: Unternehmen müs- 
sen ihre Netze anhand der Halb- 
wertszeitskurve und Wirkungs- 
dauerkurve von Schwachstellen 
bewerten. Mittels grafischer Dar- 
stellungen ist zu verfolgen, wie 
hoch der Prozentsatz von 


P Fazit 


Angriffe auf Netze werden ìm- 
mer zahlreicher und raffinier- 
ter. Die „Gesetze der 
Schwachstellen“ zeigen 

vier Arten von Risiken für in- 
terne und externe Netzwerke 
auf. Die rechtzeitige und um- 
fassende Erkennung von Si- 
cherheitslücken mit Hilfe 
automatisierter Techniken 
und die priorisierte Anwendung 
von Gegenmaßnahmen sind 
ein wirksames vorbeugendes 
Mittel, mit dem Netz-Manager 
automatisierte Angriffe abweh- 
ren und die Netzsicherheit 
gewährleisten können. 


Schwachstellen ist, der jeweils 
innerhalb eines 30-tägigen Zy- 
klus beseitigt werden kann, und 
wie viele Schwachstellen länger als 
180 Tage bestehen bleiben. Über- 
sichten über die Leistung des Se- 
curity-Teams sollten erstellt wer- 
den, um zu gewährleisten, dass 
dessen Arbeit im Endergebnis 
tatsächlich zu einer Risikomin- 
derung führt, insbesondere bei 
den kritischen Ressourcen. 
Audit: Sicherheitsverantwort- 
liche sollten die Resultate der 
Schwachstellen-Scans nutzen, 
um festzustellen, wie ihr Unter- 
nehmen in puncto Sicherheit 
insgesamt abschneidet. Mit Hil- 
fe solcher Metriken lässt sich der 
Erfolg (oder Misserfolg) unter- 
schiedlicher Security-Policies 
bewerten, um so die Sicherheit 
zu verbessern. Auch sollten die 
Ergebnisse genutzt werden, um 
die Unternehmensleitung über 
den Sicherheitsstatus zu infor- 
mieren. (ave) + 


*GERHARD ESCHELBECK ist 
Chief Technology Officer und Vice 
President of Engineering bei 
Qualys in Redwood Shores. 


